listent 1.0

Autor: Mario Hewardt

Opublikowano: 26 marca 2026 r.

Pobierz listent dla systemu macOS (GitHub)

Introduction

Narzędzie wiersza polecenia umożliwiające odnajdywanie i wyświetlanie listy uprawnień podpisywania kodu dla plików binarnych wykonywalnych systemu macOS. Obsługuje skanowanie statyczne, monitorowanie procesów w czasie rzeczywistym i operację demona w tle.

listent rekursywnie skanuje katalogi w celu znalezienia wykonywalnych plików binarnych i wyodrębnienia uprawnień podpisywania kodu. Jest ona przeznaczona dla badaczy zabezpieczeń, deweloperów i administratorów systemu, którzy muszą przeprowadzać inspekcję lub interpretować uprawnienia żądane przez aplikacje systemu macOS.

Features

Podstawowe możliwości

• Szybkie skanowanie: efektywnie przechodzi przez drzewa katalogów za pomocą inteligentnych wskaźników filtrowania i postępu
• Wyodrębnianie uprawnień: używa systemu macOS codesign do wyodrębniania uprawnień z plików binarnych
• Elastyczne filtrowanie: Filtrowanie na podstawie ścieżek i określonych kluczy uprawnień z obsługą wzorców glob.
• Wiele formatów wyjściowych: dane wyjściowe z możliwością odczytu przez człowieka i ustrukturyzowane dane wyjściowe JSON
• Wiele ścieżek: skanowanie wielu katalogów w jednym poleceniu
• Eleganckie przerywanie: Łagodne anulowanie za pomocą Ctrl+C

Tryby operacyjne

1. Tryb skanowania statycznego (ustawienie domyślne)

Skanuj pliki i katalogi pod kątem uprawnień:

# Scan default locations (/usr/bin and /usr/sbin)
listent

# Scan specific paths
listent /usr/bin /usr/sbin

# Filter by entitlement patterns
listent -e "com.apple.security.*"
listent -e "*network*" -e "*debug*"

# JSON output for automation
listent /usr/bin -e "*security*" --json

2. Tryb monitorowania w czasie rzeczywistym

Monitorowanie nowych procesów uprawnień:

# Monitor all new processes
listent monitor

# Monitor with custom polling interval
listent monitor --interval 0.5

# Monitor specific entitlements only
listent monitor -e "com.apple.security.network.*"

3. Tryb daemona

Uruchom monitorowanie w sposób ciągły w pierwszym planie (przydatne do testowania lub ręcznej obsługi demona):

# Run as daemon in foreground
listent daemon run

# Daemon with custom config file
listent daemon run --config /etc/listent/custom.toml

Niestandardowy szablon pliku konfiguracji (daemon.toml):

[daemon]
# How often to poll for new processes, in seconds (0.1 - 300.0)
polling_interval = 1.0
# Start automatically when loaded by launchd (RunAtLoad)
auto_start = true

[monitoring]
# Filesystem paths to scan for running process binaries.
# Empty list = monitor processes from all paths.
path_filters = ["/usr/bin", "/usr/sbin"]
# Entitlement patterns to match (glob syntax). Empty list = all entitlements.
# Examples: "com.apple.security.*", "*network*"
entitlement_filters = []

Wykonywanie zapytań dotyczących dzienników za pomocą:

# View listent logs in real-time
log stream --predicate 'subsystem == "com.microsoft.sysinternals.listent"' --level info

# View recent logs
log show --predicate 'subsystem == "com.microsoft.sysinternals.listent"' --last 1h

# Filter for errors only
log show --predicate 'subsystem == "com.microsoft.sysinternals.listent" AND messageType == error' --last 24h

4. Usługa demona w tle

Uruchom monitorowanie jako stałą usługę systemową zarządzaną przez launchd.

# Install and start daemon
sudo listent daemon install

# Check daemon status
listent daemon status

# View daemon logs
listent daemon logs
listent daemon logs --since 1h
listent daemon logs --since 30m
listent daemon logs --since "2025-01-15 10:00"
listent daemon logs --format json
listent daemon logs -f                    # Follow logs in real-time

# Stop daemon process
listent daemon stop

# Uninstall service
sudo listent daemon uninstall

Examples

Skanowanie statyczne

# Basic scan with progress (uses default /usr/bin and /usr/sbin)
listent

# Multi-directory scan with filtering
listent /usr/bin /usr/sbin -e "*security*"

# Find all network-related entitlements
listent -e "*network*" --json | jq '.results[].entitlements'

# Scan quietly (suppress warnings)
listent /usr/bin --quiet

Monitorowanie procesów

# Monitor all processes with 2-second intervals
listent monitor --interval 2.0

# Monitor only security-related entitlements
listent monitor -e "com.apple.security.*"

# Run as daemon with custom config
listent daemon run --config /etc/listent/daemon.toml

Zarządzanie daemonem

# Install daemon with default monitoring (requires sudo)
sudo listent daemon install

# Install with custom configuration file
sudo listent daemon install --config /path/to/config.toml

# View recent daemon activity
listent daemon logs --since 1h

# Check if daemon is running
listent daemon status

# Stop and remove daemon
listent daemon stop
sudo listent daemon uninstall

Konfiguracja

Opcje wiersza polecenia

• Ścieżki: Wiele ścieżek można określić jako argumenty pozycyjne: listent /path1 /path2
• Filtrowanie uprawnień: -e "pattern" obsługuje dokładne dopasowania i globy (*, ?, [])
• Format danych wyjściowych: --json lub -j w przypadku danych wyjściowych ze strukturą wartość domyślna jest czytelna dla człowieka
• Tryb cichy: --quiet lub -q pomija ostrzeżenia dotyczące nieczytelnych plików
• Monitorowanie: listent monitor podkomenda umożliwia monitorowanie procesów w czasie rzeczywistym
• Interwał monitora: --interval SECONDS ustawia częstotliwość sondowania (0.1-300.0, wartość domyślna: 1.0)
• Tryb usługi: listent daemon run działa jako proces w tle
• Zarządzanie usługą: listent daemon install|uninstall|status|stop|logs
• Plik konfiguracji: --config FILE lub -c FILE określa ścieżkę konfiguracji demona

Wzorce uprawnień

# Exact match
-e "com.apple.security.network.client"

# Wildcard patterns
-e "com.apple.security.*"        # All Apple security entitlements
-e "*network*"                   # Any entitlement containing "network"
-e "*.debug.*"                   # Debug-related entitlements

# Multiple patterns (OR logic)
-e "com.apple.private.*" -e "*.debug.*"

Konfiguracja demona

Ustawienia demona są konfigurowane za pośrednictwem pliku konfiguracji TOML:

• Lokalizacja domyślna: ~/.config/listent/daemon.toml
• Ścieżka niestandardowa: użyj polecenia --config z daemon install

Aby zmienić konfigurację, zmodyfikuj plik konfiguracji i uruchom ponownie demona:

# Edit config
nano ~/.config/listent/daemon.toml

# Restart daemon
listent daemon stop
sudo listent daemon install

Przykładowa konfiguracja demona:

[daemon]
polling_interval = 1.0
auto_start = true

[monitoring]
path_filters = []
entitlement_filters = ["com.apple.security.*", "*network*"]

[logging]
level = "info"
subsystem = "com.microsoft.sysinternals.listent"
category = "daemon"

Troubleshooting

Ctrl+C Nie działa w terminalach zewnętrznych

Jeśli ctrl+C nie przerywa skanowania w Terminal.app lub iTerm2, jest to spowodowane problemem z obsługą sygnału terminalu systemu macOS.

Obejście: Przed uruchomieniem polecenia wykonaj następujące polecenie listent:

trap - INT

Spowoduje to usunięcie wszelkich istniejących pułapek przerwań i przywrócenie domyślnego zachowania SIGINT. Po tym ctrl+C powinno działać normalnie.

Uwaga: ten problem nie ma wpływu na zintegrowany terminal programu VS Code.

Formaty danych wyjściowych

Czytelne dla człowieka (domyślne ustawienie)

Found 2 binaries with 5 total entitlements:

/usr/bin/security:
  com.apple.private.platformsso.security: true

/usr/bin/nc:
  com.apple.security.network.client: true
  com.apple.security.network.server: true

Scan Summary:
  Scanned: 156 files
  Matched: 2 files
  Duration: 2.34s

JSON Format

{
  "results": [
    {
      "path": "/usr/bin/security",
      "entitlements": {
        "com.apple.private.platformsso.security": true
      },
      "entitlement_count": 1
    }
  ],
  "summary": {
    "scanned": 156,
    "matched": 2,
    "duration_ms": 2340,
    "skipped_unreadable": 0
  }
}

Zabezpieczenia

Jeśli uważasz, że znaleziono problem z zabezpieczeniami, zgłoś go za pośrednictwem repozytorium GitHub projektu, zamiast otwierać problem publiczny.

Pobieranie pakietu jcd dla systemów Linux i macOS (GitHub)

Działa w:

• macOS